AWS CodeCommit 與介面 VPC 端點搭配使用 - AWS CodeCommit
可用性為以下項目建立 VPC 端點 CodeCommit為以下項目建立 VPC 端點原則 CodeCommit

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS CodeCommit 與介面 VPC 端點搭配使用

如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 來託管 AWS 資源,則可以在 VPC 和. CodeCommit 您可以使用此連線 CodeCommit 來啟用與 VPC 上的資源進行通訊,而無需透過公用網際網路。

Amazon VPC 是一項 AWS 服務,可用於在您定義的虛擬網路中啟動 AWS 資源。您可利用 VPC 來控制您的網路設定,例如 IP 地址範圍、子網路、路由表和網路閘道。使用 VPC 端點時,VPC 和 AWS 服務之間的路由由由 AWS 網路處理,您可以使用 IAM 政策來控制對服務資源的存取。

若要將 VPC 連接到 CodeCommit,您需要為的定義介面 VPC 端點。 CodeCommit介面端點是具有私有 IP 位址的 elastic network interface,可做為傳送至支援 AWS 服務之流量的進入點。端點提供可靠、可擴充的連線能力, CodeCommit 無需網際網路閘道、網路位址轉譯 (NAT) 執行個體或 VPN 連線。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的什麼是 Amazon VPC

注意

提供 VPC 支援並與 CodeCommit之整合的其他 AWS 服務 (例如 AWS CodePipeline) 可能不支援使用 Amazon VPC 端點進行該整合。例如, CodePipeline 和之間的流量 CodeCommit 不能限制在 VPC 子網路範圍內。支援整合的服務,例如 AWS Cloud9,可能需要額外的服務,例如 AWS Systems Manager.

介面 VPC 私人雲端端點的支援是一種 AWS 技術 AWS PrivateLink,可使用具有私有 IP 位址的 elastic network interface,在 AWS 服務之間進行私人通訊。如需詳細資訊,請參閱AWS PrivateLink

下列步驟適用於 Amazon VPC 的使用者。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的入門

可用性

CodeCommit 目前支援下列各項的 VPC 端點: AWS 區域

  • 美國東部 (俄亥俄)

  • 美國東部 (維吉尼亞北部)

  • 美國西部 (加利佛尼亞北部)

  • 美國西部 (奧勒岡)

  • 歐洲 (愛爾蘭)

  • 歐洲 (倫敦)

  • Europe (Paris)

  • 歐洲 (法蘭克福)

  • 歐洲 (斯德哥爾摩)

  • 歐洲 (米蘭)

  • 非洲 (開普敦)

  • 以色列 (特拉維夫)

  • 亞太區域 (東京)

  • 亞太區域 (新加坡)

  • 亞太區域 (悉尼)

  • 亞太區域 (雅加達)

  • 中東 (阿拉伯聯合大公國)

  • 亞太區域 (首爾)

  • 亞太區域 (大阪)

  • 亞太區域 (孟買)

  • 亞太區域 (海德拉巴)

  • 亞太區域 (香港)

  • 南美洲 (聖保羅)

  • Middle East (Bahrain)

  • 加拿大 (中部)

  • 中國 (北京)

  • 中國 (寧夏)

  • AWS GovCloud (美國西部)

  • AWS GovCloud (美國東部)

為以下項目建立 VPC 端點 CodeCommit

若要開 CodeCommit 始使用您的 VPC,請為. CodeCommit CodeCommitGit 操作和 CodeCommit API 操作需要單獨的端點。根據您的商業需求,您可能需要建立多個 VPC 端點。為建立 VPC 端點時 CodeCommit,請選擇AWS 服務,然後在服務名稱中選擇下列選項:

  • COM. 亞馬遜。 區域 .git-code 認可:如果您想要為具有儲存庫的 Git 作業建立 VPC 端點,請選擇此選項。 CodeCommit 例如,如果您的使用者使用 Git 用戶端和指令 (例如、)git pull,以及與 CodeCommit 儲存庫互動git pushgit commit,請選擇此選項。

  • COM. 亞馬遜。 區域。 git-codecommit-fips:如果您想要使用符合聯邦資訊處理標準 (FIPS) 出版物 140-2 美國政府標準的 CodeCommit 儲存庫建立適用於 Git 作業的 VPC 端點,請選擇此選項。

    注意

    並非所有 AWS 區域都可以使用適用於 Git 的 FIPS 端點。如需詳細資訊,請參閱 Git 連接端點

  • COM. 亞馬遜。 區域 .codecommit:如果您要建立用 CodeCommit 於 API 作業的 VPC 端點,請選擇此選項。例如,如果您的使用者使用 AWS CLI、 CodeCommit API 或 AWS SDK 來與作業 (例如、和PutFile) 互 CodeCommit 動 CreateRepositoryListRepositories,請選擇此選項。

  • COM. 亞馬遜。 區域 .codecommit-fips:如果您要建立符合聯邦資訊處理標準 (FIPS) 出版物 140-2 美國政府標準的 CodeCommit API 作業的 VPC 端點,請選擇此選項。

    注意

    並非所有 AWS 區域均提供 FIPS 端點。如需詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 140-2 概觀 AWS CodeCommit 中的項目。

為以下項目建立 VPC 端點原則 CodeCommit

您可以為 Amazon VPC 端點建立政策,您可以 CodeCommit 在其中指定:

  • 可執行動作的主體。

  • 可執行的動作。

  • 可對其執行動作的資源。

例如,一家公司可能需要限制只能從 VPC 的網路地址範圍存取儲存庫。您可以在此處查看這類政策的範例:範例 3:允許使用者從指定的 IP 位址範圍連線存取儲存庫 。該公司為美國東部 (俄亥俄) 區域設定了兩個 Git VPC 端點:com.amazonaws.us-east-2.codecommitcom-amazonaws.us-east-2.git-codecommit-fips. 他們希望允許代碼推送到MyDemoRepo僅在 FIPS 兼容端點上名為的 CodeCommit 存儲庫。為了強制此行為,他們在 com.amazonaws.us-east-2.codecommit 端點上設定類似如下的政策,以明確拒絕 Git 推送動作:

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "codecommit:GitPush",
            "Effect": "Deny",
            "Resource": "arn:aws:codecommit:us-west-2:123456789012:MyDemoRepo",
            "Principal": "*"
        }
    ]
}

如需詳細資訊,請參閱 Amazon VPC 使用者指南中的建立界面端點